证券时报多媒体数字报

  曾在各银行办理的业务、银行卡账号、出生日期、手机号码、通讯地址、配偶资料等都属个人信用报告上的信息内容。

  见习记者 蔡恺

  在央视“3·15”曝光的泄露客户信息事件将银行推到了风口浪尖上，该事件已引起监管层的高度重视。据银行业人士向证券时报记者透露，监管机构即将对银行的征信系统使用情况进行专项检查，一些大行已要求立即开展征信系统使用的自查行动。

  一场旨在打击银行泄露客户信息的“监管风暴”已悄然刮起，业内人士预计一些隐藏的违规个案将浮出水面。不过，业界普遍认为，当前银行的管理制度已比较严格，加强对职员的职业教育更具迫切性。

  内部自查

  某四大行深圳一级支行信贷部人士王义（化名）对记者表示，近日接到分行的邮件通知，称因一些银行泄露客户资料引起了不良影响，监管机构即将对商业银行信用报告的合规查询进行专项检查，为此，总行要求各分行从3月26日开始进行自查，及时整改，防范操作风险。

  据王义称，分行要求各支行自查前3个月的信用报告查询记录，包括：一、信用报告查询的内外部授权材料是否齐全，查询时是否登记在查询登记簿上；二、涉及到与第三方合作的查询记录，比如小额贷款公司、汽车金融公司等，需认真梳理检查客户签署的授权材料；三、涉及个人信用报告的相关档案须妥善保存，对可能接触到信用报告的相关人员，必须按相关制度严格管理，杜绝报告经工作人员向外泄露的可能；四、严禁通过邮件发送任何版本的信用报告。

  另一位四大行广东省分行信贷条线人士黄小姐对记者表示，近日总行向其分行也下发了类似的邮件通知，通知称，出售或非法提供个人信息属违法行为，需承担刑事责任，各分行须高度重视，加强对信用报告查询人员的教育，组织相关人员学习法律及相关制度。

  该行的通知还提到，银行信息管理部门要规范查询用户的申请、创建及停用，确保只有实际工作需要的人员才能查询个人信用报告；相关人员严禁将账号借给他人；对于离职人员，要立即停用其账号。

  在王义看来，通过自查，相信会有许多隐藏的违规个案付出水面，可预见相关人士将被严厉处罚，这对业界来说也是一件好事。“银行最近的口碑太差了，这次检查来得及时。”王义说道。

  三家银行职员向不法分子出售客户信息，导致客户资金被盗的曝光，引起了轩然大波。据了解，上述银行职员登录央行的征信系统，大量打印个人信用报告，再以每份十元或几十元的价格非法出售。

  难道银行对客户资料的管理这么不安全吗？从业内人士的反馈来看，大部分银行在制度层面的管理上已算是比较严格，问题主要出在一些员工身上，他们建议应加强对职员的教育和平时自查力度。

  个人信用报告巨细无遗 

  央行的征信系统包括企业和个人的信用信息数据库，其主要信息提供者和使用者为金融机构。

  央行颁布的《个人信用信息基础数据库管理暂行办法》规定，银行办理审核下列业务，可以查询个人信用报告：其中包括贷款申请、信用卡申请、个人作为担保人的申请、贷后风险管理以及查询企业法人及出资人信用状况。

  前述银行人士王义表示，信用报告上的个人信息巨细无遗，包括曾在各银行办理的业务，银行卡账号、出生日期、手机号码、通讯地址以及配偶资料等。这些信息一旦被不法之徒获得，银行账户密码被破解的几率会相当高。据了解，3·15曝光的案件中，犯罪分子就是通过个人资料破解出最有可能的6位数密码，登录网银实施盗窃。

  王义称，各家银行在对征信系统账号、密码的授权和管理上存在一些差别，但一般来说，只有做零售贷款业务的职员才可拥有，信用卡中心的职员亦包括在内，因为他们批卡前会大量审核申请人的征信报告。在上述案件中，向犯罪分子出售客户资料的其中一人，就是信用卡中心风险管理部的贷款审核员。

  作为银行贷款风险管控的重要一步，信贷条线人员经常需要查询个人信用报告，但每一次查询都会在征信系统上留下记录。比如，A行的信贷人员查询客户甲的征信报告，系统会自动记录这次查询的时间、地点、原因等信息，下次B行的人查询时，就可清楚看到此前A行的查询记录。

  王义表示，因为查询都记录在案，因此银行职员在收集和打印客户资料时通常会比较谨慎。“很难理解那些打印了大量个人信用报告的银行职员怎么会这么大胆。”王义说道。

  另外，《办法》规定，银行查询个人信用报告时应取得被查询人的书面授权。对此，王义表示，一般要先让客户签署《个人征信授权书》才能查询其信用报告，以备分行抽查，但不排除某些职员存有逃避抽查的侥幸心理，因此也不难解释总行下发的自查通知里特别要求支行要检查客户的授权文件。

  实际上，相关法规已对客户资料保护做出明确规定。比如，中国银行业协会制定的《银行业从业人员职业操守》中第八条称：银行从业人员应当保守所在机构的商业秘密，保护客户信息和隐私。

  另外，《办法》还规定，银行出现越权查询个人信用数据的，或查询结果用于办法规定之外的其他目的的，由央行责令改正，并处一万元以上三万元以下罚款，还可建议银行对直接负责人给予纪律处分；涉嫌犯罪的，移交司法机关处理。

  王义称，银行职员入职前通常会被要求签署一份“客户个人信息保密协议”，严禁泄露客户信息，否则将受到严厉处罚。

  内部系统查询留隐患

  值得注意的是，除了央行的征信系统，每家银行还有各自的客户资料查询系统，仅记录了客户在本行的个人信息及发生业务。银行客户经理一般没有进入内部系统的权限，只有后台人员才有相关账号和密码。

  “由于工作需要，内部系统的查询比征信系统查询更频繁，且查询不会留下记录，因此职员在处理上就没有那么谨慎，有些职员登录内部系统打印了客户资料，但却随便乱放。”王义说道，“这很容易造成一些客户资料的泄露。”

  不过，王义称，通过内部系统收集客户资料做不法用途，也需面对被监控的风险：银行通常会对每台电脑都装有闭路摄像头，如果大量打印客户资料，还是会引起注意。

  广州某股份制银行零售条线负责人柯蓉（化名）对记者表示，一些股份制银行对内部客户资料的管理十分严格，一般只有储蓄条线和后台条线的业务负责人才有权限登录内部系统，还必须通过按指纹或者刷电子卡才能登录；一般职员要查看客户资料，就需要向上述业务负责人申请授权。

  然而，柯蓉也不否认，如果职员被泄露客户信息所带来的利益驱动，就会铤而走险，设法获取他人的账号、密码。之前业内就曾发生过职员收受第三方理财机构和房屋中介的利益，向他们非法提供高净值客户的个人资料。

  加强职业教育

  柯蓉表示，在严格的管控制度下，之所以还会发生泄露客户信息的案件，是因为一些银行在对职员的道德培训和风险教育上有所欠缺，“很多银行只知道用绩效去评估一个职员的产能，用严格的制度去限制职员的行为，但却往往忽视平时的风险教育，在这方面，银行业确实应当加强。”

  柯蓉举例称，在她所在的银行，几乎每月都会播放内控风险的案例视频供职员学习，通过描绘模拟案件，让职员清楚地知道金融违法的成本。

  另外，银行还经常以调查问卷的形式进行“风险自查”，职员要回答的问题甚至包括“您觉得最近身边哪位职员有异常？”、“您是否知道哪位职员最近曾参与赌博等非法活动”等。柯蓉认为，这类措施能起到防微杜渐的作用。

  王义还建议，监管机构可以修改相关的法律法规，加大对泄露客户资料的惩罚力度，比如某位职员违规甚至违法了，业务主管和分管的行长应承担连带责任。